flexibilität michael hange und agilität scheidenden bsi ... · secunet setzt in der neuen...
TRANSCRIPT
... als Erfolgsfaktorenfür die nationale undöffentliche Sicherheit
Flexibilitätund Agilität
Das Kundenmagazin Ausgabe 2/2015
Michael Hange
Interview mit dem
scheidenden
BSI-Präsidenten
(im Bild)
SINA SOLID
Patentierte und
prämierte Sicherheit mit
der TU Ilmenau
Smart Borders
Interview mit
Fares Rahmun vom BVA
über Herausforderungen
zukünftiger Grenz-
kontrollprozesse
Inhalt
2 secuview 2/2015
30
Für ein optimiertes Reiseerlebnis und erhöhte
Sicherheit
Interview mit Daniel Bachenheimer, internationaler
Experte und Technischer Direktor der Accenture Border
and Identity Management Industry Group.
Die Achillesfersen der Industriesteueranlagen
secunet setzt in der neuen Awareness-Veranstaltung,
auch „Prozessnetz-Hacking“ genannt, erstmals den
Fokus auf die Sicherheit in Industriesteueranlagen.
9National04 Interview mit
Michael Hange
06 Das IT-Sicherheitsgesetz
in der Praxis
08 Wenn die JAVA-Bibliothek
nicht mehr ausreicht
International09 Für ein optimiertes Reiseerlebnis
und erhöhte Sicherheit
13 Flughafen Prag baut EasyGO
weiter aus
14 Smart Borders-Tests in der EU
16 eID PKI Suite nach
Common Criteria zertifiziert
17 Drei Fragen zum norwegischen
PKI-Projekt an John Kristian Thoresen
Wissenschaft18 secunet unterstützt Marktgang der
finally safe GmbH
22 SINA SOLID – prämiert und patentiert
für VPN-Vernetzung
Technologien & Lösungen26 Die SINA L3 Box S wird noch schneller
26 Ein schönes Paar
28 Zeit ist kostbar
30 Die Achillesfersen der Industriesteueranlagen
32 Awareness räumt Stolpersteine im ISMS
aus dem Weg
34 Angriff auf die Autos von morgen
Kurz notiert27 Übergabe SINA Tablet
27 it-sa 2015
33 Start frei für die secunet wall 5.1
Termine12 Aktuelle Veranstaltungen
leich vorab möchte ich mich bei Michael
Hange dafür bedanken, dass er uns eines
seiner vielleicht letzten Interviews wäh-
rend seiner Amtszeit als BSI-Präsident gewährt hat.
Seit Anfang der 90er Jahre schätzen wir die vertrau-
ensvolle Zusammenarbeit mit Michael Hange in ver-
schiedenen Positionen beim BSI. Zum Jahresende
wird er in seinen wohlverdienten Ruhestand gehen.
Wir wünschen Ihnen, Herrn Hange, und Ihrem 1. FC
Köln nur das Beste für den neuen Lebensabschnitt
und sagen Danke für Ihr großes Engagement für die
IT-Sicherheit. Wir freuen uns auf die Zusammenar-
beit mit der neuen Amtsleitung und vielen Experten
des BSI in 2016.
Besonders das vergangene Jahr war, wie es Herr
Hange im Interview beschreibt, „geprägt von IT-
Sicherheitsvorfällen, die teils über das normale
Grundrauschen weit hinausgingen“. Ja, wir werden
uns auf eine immer weiter fortschreitende Qualität
der Angriffe einstellen müssen. Flexibilität und
Agilität sind hier sowohl von Ihnen als auch von uns
als Sicherheitsdienstleister gefragt und für sämt-
liche IT-Sicherheitsprodukte von grundlegender
Bedeutung.
Umso wichtiger ist es, bei der Entwicklung von IT-
Sicherheitsprodukten und -maßnahmen den engen
Schulterschluss zu Wissenschaft und Forschung
zu suchen – nur so können innovative Lösungen
wie beispielsweise SINA SOLID entstehen, die aus
einer intensiven Forschungskooperation mit der
Technischen Universität in Ilmenau hervorging. Aus
diesem Grund freuen wir uns auch, gemeinsam mit
dem Institut für Internet-Sicherheit – if(is) eine neue
Produktlösung zur Netzwerkabsicherung auf den
Markt zu bringen: spotuation. Dafür wurde die finally
safe GmbH gegründet, an der secunet eine Minder-
heitsbeteiligung hält.
Mit der zunehmenden digitalen Durchdringung
unseres Lebens wird IT-Sicherheit immer mehr
zu einem zentralen Baustein – nicht zuletzt auch
für die innere und öffentliche Sicherheit. Smart
Borders und sichere Grenzkontrollen sind hier
große Schlagworte, die besonders durch die Ge-
schehnisse in diesem Jahr eine ganz neue Aufmerk-
samkeit erfahren.
Zum Jahresende wünsche ich Ihnen nun viel Spaß
bei der Lektüre und ein besinnliches Weihnachts-
fest. Kommen Sie gut ins neue Jahr!
Ihr Dr. Rainer Baumgart
Editorial
G
secuview 2/2015 3
National
4 secuview 2/2015
Herr Hange, was war für Sie 2015 das herausragende
Ereignis in Sachen IT-Sicherheit?
Hange: 2015 war zum einen geprägt von IT-Sicher-
heitsvorfällen, die teils über das normale Grundrau-
schen weit hinausgingen: Die APT-Angriffe auf den
Deutschen Bundestag und auf den französischen
Fernsehsender TV5MONDE oder die DDoS-Atta-
cken auf die Webseiten der Bundeskanzlerin oder
des Auswärtigen Amts fanden insbesondere medial
eine große Aufmerksamkeit. Mit dieser qualitativen
Entwicklung müssen wir uns technisch, aber auch
gesellschaftlich auseinandersetzen. In führenden
NATO-Staaten wird die Bedrohung durch Cyber-
Angriffe als eine der größten Bedrohungen ihrer
nationalen und öffentlichen Sicherheit angesehen.
Diese Diskussion ist in Deutschland bislang noch
nicht geführt worden.
Zum anderen ist 2015 die Verabschiedung des IT-
Sicherheitsgesetzes hervorzuheben. Es ist ein Mei-
lenstein für die IT-Sicherheit, weil erstmals gesetzlich
das Ziel formuliert wurde, gemeinsam mit den Betrei-
bern den Schutz Kritischer Infrastrukturen zu verbes-
sern. Es trägt damit der zunehmenden Bedrohung
durch Cyber-Angriffe Rechnung und ermöglicht
durch mehr Lageinformationen aus der Wirtschaft,
neue Strategien der Abwehr zu entwickeln – auch
zum Schutz der Bürgerinnen und Bürger.
Nach 24 Jahren verabschieden Sie sich zum Ende
dieses Jahres vom BSI und gehen in den Ruhestand.
Wie fällt Ihr persönliches Resümee aus?
Hange: Was das BSI betrifft, so ist das Amt an und
mit den Herausforderungen gewachsen. Dabei waren
das hohe fachliche Engagement der Mitarbeite-
rinnen und Mitarbeiter für das Thema IT-Sicherheit
sowie die Zusammenarbeit mit ihnen für mich ein
Gewinn. Mein Ziel war und ist, dass das BSI als
„Das IT-Sicherheitsgesetz ist ein Meilenstein für die IT-Sicherheit“Interview mit Michael Hange, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Im Interview:
Michael Hange ist seit dem
16. Oktober 2009 Präsident
des BSI und wird zum Jahres-
ende in den Ruhestand gehen.
Zuvor bekleidete er 15 Jahre
lang die Position des Vize-
präsidenten. Er war seit 1977
in der Bundesverwaltung auf
dem Gebiet der IT-Sicherheit
tätig und seit der Gründung
1991 beim BSI.
secuview 2/2015 5
National
kompetenter IT-Sicherheitspartner wahrgenommen
wird. Ich denke, dies ist uns trotz oder gerade wegen
des innovativen und dynamischen Charakters des
Themas IT-Sicherheit gut gelungen. Diese Flexibili-
tät und Agilität werden wir uns auch in Zukunft er-
halten müssen, insbesondere vor dem Hintergrund
der Digitalisierung. Den damit verbundenen Heraus-
forderungen für die IT-Sicherheit stellt sich das BSI
nicht allein, sondern es setzt auch in Zukunft auf
Kooperation, vor allem mit Unternehmen der innova-
tiven und leistungsfähigen deutschen IT-Sicherheits-
branche. Einige richtungsweisende Projekte haben
wir beispielsweise gemeinsam mit secunet umge-
setzt, etwa die Entwicklung und den Rollout der
SINA Technologie, die sich in der Bundesverwaltung,
aber auch darüber hinaus als verlässlicher Sicher-
heitsanker erwiesen hat.
Wenn Sie sich zu Ihrer Verabschiedung etwas wün-
schen könnten, was wäre das?
Hange: Ich würde mir die Einrichtung eines staat-
lichen IT-Sicherheitsfonds zur Förderung von IT-
Sicherheitsprodukten und -dienstleistungen wün-
schen, der der IT-Sicherheit im globalen IT-Markt
Flankenschutz gibt. Dies ließe sich auch mit einem
hohen Nutzen für Staat und Wirtschaft im In- und
Ausland gestalten. Zudem wünsche ich mir, dass
das Vertrauen erhalten bleibt, das das BSI meiner
Auffassung nach in weiten Teilen der Wirtschaft und
bei den Bürgerinnen und Bürgern genießt.
Apropos Vertrauen: Als Fußballfan wird das Vertrau-
en in den eigenen Club manches Wochenende auf
eine harte Probe gestellt. Was meinen Sie: Wo wird
der 1. FC Köln am Saisonende stehen?
Hange: Anhänger des 1. FC Köln zu sein erforderte
in den letzten Jahren in dem Auf und Ab im wahrsten
Sinne des Wortes „Leidenschaft“. In dieser Saison
scheint es jedoch gut zu laufen, die Mannschaft ist
aus meiner Sicht absolut im Soll. Entgegen der Eu-
phorie, die in früheren Zeiten beim FC oft nach zwei
oder drei Siegen ausbrach, trägt das unmittelbare
Umfeld der Mannschaft heute viel dazu bei, dass die
Erwartungen realistisch bleiben. Als Rheinländer bin
ich Optimist und sehe einen einstelligen Tabellen-
platz am Ende der Saison als realistisches Ziel an. n
„Flexibilität und Agilität werden wir uns auchin Zukunft erhalten müssen, insbesondere vor dem Hintergrund der Digitalisierung.“
Das Gesetz der Bundesregierung „zur Erhöhung der Sicherheit informationstechnischer Systeme“ ist seit dem 24. Juli 2015 in Kraft. Was müssen Betreiber Kritischer Infrastrukturen nun tatsächlich zur Umsetzung des IT-Sicherheitsgesetzes (IT-SiG) tun? Noch gibt es keine detaillierten Vorgaben: Die Rechtsver-ordnungen zur Konkretisierung der Forderungen stehen noch aus.
Das IT-Sicherheitsgesetz in der Praxis
6 secuview 2/2015
secuview 2/2015 7
National
ISMS gefordert wird. Warten Sie also nicht länger,
legen Sie schon mal los!
EGLV – gutes Beispiel macht SchuleIn einem abgestimmten Geltungsbereich und mit
Fokus auf die Bereiche der Automatisierungs- und
Prozessleittechnik wurden bei Emschergenossen-
schaft und Lippeverband (EGLV) zahlreiche Sicher-
heitsanalysen durchgeführt. Auf den Ergebnissen
aufbauend wurden durch secunet bewährte Sicher-
heitsmaßnahmen nach Best Practice modifiziert
und notwendige ergänzende Maßnahmen definiert.
Dabei bildeten die branchenspezifischen Anfor-
derungen und Empfehlungen für die Energie- und
Wasserwirtschaft einen festen Rahmen.
Warum jetzt warten und später in Zeitnot geraten?Das Beispiel zeigt, dass auch Sie schon heute risi-
kolos mit der Umsetzung des ISMS starten und in
Ruhe die geforderte Basis für mehr IT-Sicherheit und
damit die Umsetzung des IT-SiG schaffen können –
so dass Sie sich dann auf die branchenspezifischen
Sicherheitsstandards konzentrieren können, wenn
sie kommen. n
Mehr Informationen:
Alexander Schlensog
arüber hinaus wird die Antwort aufgrund
verschiedener gesetzlicher Ausgangssitu-
ationen je nach Branche unterschiedlich
ausfallen. Die Bundesnetzagentur schreibt in Be-
zug auf Informationssicherheit im Telemediengesetz
(TMG) und Telekommunikationsgesetz (TKG) schon
seit Jahren Anforderungen an bestimmte Infra-
strukturen und Dienste im KRITIS-Sektor IKT vor. Im
KRITIS-Sektor Energie sind derartige Anforderungen
an die Informationssicherheit durch das Energie-
wirtschaftsgesetz (EnWG) und den damit verabschie-
deten IT-Sicherheitskatalog der Bundesnetzagentur
definiert. Weitere branchenspezifische Sicherheits-
standards samt Umsetzungsfristen werden folgen.
Dennoch sollten die Branchen sich schon jetzt mit
den ersten Schritten der Implementierung von mehr
IT-Sicherheit auseinandersetzen – es werden Fris-
ten einzuhalten sein, die zwar zunächst großzügig
erscheinen, aber bei näherer Betrachtung durchaus
spannend werden können: So sind im Bereich der
Energiewirtschaft etwas mehr als zwei Jahre zur
Umsetzung und zum Nachweis des IT-Sicherheits-
katalogs angesetzt. Doch eine Umfrage der VKU
ergab, dass ca. 50 % der befragten Organisationen
nach eigenen Angaben zwischen zwei und drei Jah-
re oder sogar noch mehr Zeit für den Aufbau eines
Informationssicherheitsmanagementsystems (ISMS)
benötigen.
Auch wenn klare Detailvorgaben zur Erfüllung noch
fehlen – fest steht, dass vom IT-SiG auf jeden Fall ein
D
National
o zum Beispiel in einem aktuellen Projekt, bei
dem in einem verteilten bildgebenden Real-
time-System die Echtheit und Unversehrt-
heit der Bilder bei der Übertragung gewährleistet
werden muss. Dies erfordert eine Verschlüsselung
in Bruchteilen von Sekunden, was eine asymmet-
rische Verschlüsselung ausschließt. Symmetrische
Verschlüsselung bietet die notwendige Performance,
eine Softwarerealisierung kommt aber aufgrund der
hohen Sicherheitsanforderungen im Projekt nicht
in Frage. Hier bietet ein sogenanntes Hardware
Security Modul (HSM) die Lösung: Als internes oder
externes Peripheriegerät kann es sowohl die hohen
Performance- als auch die hohen Sicherheitsan-
forderungen erfüllen.
Einsatz hardwarebasierter Kryptomodule – ein Fall für die SicherheitsarchitektenDas Team der secunet Division KRITIS besteht aus
Spezialisten, die mit ihrem Know-how aus vielen
Projekten die Entwicklung der kundenspezifischen
Sicherheitsmodule des HSMs hardwarenah in der
Programmiersprache C umsetzen. Übliche Pro-
grammiersprachen wie JAVA haben hier keinen
Platz. Die Experten gewährleisten im Rahmen von
sicheren Programmiermethoden, dass diese Module
den Anforderungen des Kunden an Stabilität und
Sicherheit genügen. Dabei berücksichtigen sie die
Sicherheitsarchitektur des Gesamtsystems und der
zugehörigen Prozesse. Die Schaffung einer solchen
sicheren Gesamtarchitektur des Systems ist das
eigentliche „Kunstwerk“ beim Einsatz des HSMs.
Somit sind die übertragenen Bilder vor software-
seitigen Angriffen geschützt. Physikalischen An-
griffen begegnet das HSM durch Löschung aller
sensiblen Daten inklusive der symmetrischen
Schlüssel. Damit wird das System des Kunden
durchgängig abgesichert. n
Mehr Informationen:
Torsten Redlich
S
8 secuview 2/2015
Wenn die JAVA-Bibliothek nicht mehr ausreicht
Jeder kennt Kryptographie durch die SSL-Verschlüsselung in seinem Browser. Die Implementierung einer solchen Ver-schlüsselung, wie sie in vielen Projekten der Division KRITIS umgesetzt wird, ist einfach, nicht zeitkritisch und unproblema-tisch. Doch es gibt Situationen, in denen eine Verschlüsselung in dieser Form nicht in Frage kommt.
secuview 2/2015 9
International
Könnten Sie uns bitte kurz den Aufbau von US-VISIT
darlegen und die Rolle beschreiben, die Accenture
bei diesem Programm spielte und wahrscheinlich
noch immer spielt?
Bachenheimer: Das Programm United States Visitor
& Immigrant Status Indicator Technology (US-VISIT)
startete, kurz nachdem im Juni 2002 das DHS – De-
partment of Homeland Security als Folge der Angriffe
vom 11. September 2001 gegründet worden war. Im
Juni 2004 wurde Accenture als Hauptintegrator für
US-VISIT ausgewählt – mit einem Vertrag von bis zu
zehn Jahren Laufzeit und einem Auftragsvolumen
von knapp zehn Milliarden US-Dollar.
Anfangs erstellte und lieferte Accenture den strate-
gischen Plan für US-VISIT, in dem dargelegt wurde,
wie die US-amerikanische Regierung in den folgen-
den zehn Jahren die Themen Zu-/Einwanderung sowie
Grenzsicherheit managen könnte. Danach wurde ein
Programmkonzept entwickelt, das als Dreijahres-
Leitfaden für den Planungsaufwand diente und die
Maßnahmen auf messbare Ergebnisse ausrichte-
te. Das von Accenture geleitete Team unterstützte
dann die technologische Ausrichtung für US-VISIT
und entwickelte die grundlegende serviceorientier-
te Architektur (SOA). Verschiedene Pilotprojekte
an Flug- und Seehäfen sowie Landgrenzen wurden
von uns aufgesetzt. Dabei wendeten wir multimodale
Anpassungsfunktionen an, modernisierten das
Transaktionsmanagement und lieferten NIEM-kon-
forme Identitätsdienste für verschiedene Instanzen
rund um den Globus. Dabei wurde die bis dato größ-
te biometrische Datenbank der Welt (IDENT) betrie-
ben und gepflegt.
Vor Kurzem hat Accenture seinen Support für das
US-VISIT-Programm beendet, das nun als Homeland
Für ein optimiertesReiseerlebnis underhöhte SicherheitInterview mit Daniel Bachenheimer, internationaler Experte und Technischer Direktor der Accenture Border and Identity Management Industry Group.
Im Interview:
Daniel Bachenheimer ist Technischer
Direktor der Accenture Border and
Identity Management Industry Group.
Er ist ausgebildeter Elektroingenieur,
leitet Accentures Unique Identity
Services und entwickelt und liefert
seit mehr als 25 Jahren Lösungen für
Behörden. In den letzten 15 Jahren
hat sich Daniel Bachenheimer auf
Lösungen für das Grenz- und Identi-
tätsmanagement fokussiert.
>>>
International
10 secuview 2/2015
Advanced Recognition Technology (HART) in der
Verantwortung des Office of Biometric Identity Ma-
nagement (OBIM) liegt. In den kommenden Monaten
wird eine Ausschreibung für die Modernisierung von
HART erwartet.
Betrachtet man die Grenzkontrollsysteme in den
USA und in Europa, stellt man fest, dass sich diese
ziemlich stark unterscheiden. Was sind die Haupt-
gründe dafür?
Bachenheimer: Meiner Meinung nach lässt sich
der vorrangige Unterschied bei den Grenzkontroll-
systemen in den USA und in Europa auf politische
Unterschiede zurückführen. So heißt es beispiels-
weise im US-amerikanischen Gesetz „Der Antrag
auf rechtmäßige Einreise in die USA ist persönlich
an einen Grenzbeamten einer US-amerikanischen
Einreisestelle zu richten …“*. Das bedeutet, die Ein-
bindung automatisierter Grenzkontrollsysteme (ABC
– Automated Border Clearance) in den Einreise-
prozess würde eine Gesetzesänderung erfordern.
Dies war auch bei Global Entry der Fall, einem alter-
nativen Grenzkontrollverfahren für vorab genehmigte
und überprüfte Reisende.
Verschiedene EU-Mitgliedstaaten haben die auto-
matisierte Grenzkontrolle für ePass-Inhaber ober-
halb einer festgelegten Altersgrenze (in der Regel
18 Jahre) eingeführt, um den Ein- und Ausreisepro-
zess für Bürger der EU (und einiger anderer Staaten)
zu automatisieren. Der Prozess wird typischerweise
von Grenzbeamten überwacht, die sich bei Bedarf
über die automatisierten Entscheidungen hinwegset-
zen können. Es finden jedoch keine Befragungen
durch einen Beamten der Einwanderungsbehörde
statt.
Ein weiterer Unterschied betrifft die erhobenen Infor-
mationen, und zwar deren Nutzung und Aufbewah-
rungsdauer. Drittstaatsangehörige, darunter auch
Bürger aus von der Visumspflicht ausgenommenen
Ländern, die in die USA einreisen wollen, müssen
biometrische Informationen zur Verfügung stellen,
die über längere Zeiträume hinweg aufbewahrt und
für Einreise und Gesetzesvollstreckung genutzt wer-
den. In Europa gibt es keine äquivalenten Prozesse
oder Systeme für Drittstaatsangehörige aus von der
Visumspflicht ausgenommenen Ländern. Allerdings
existiert ein ähnlicher Prozess für Visumsinhaber.
Hier wird bei der Einreise eine biometrische Identi-
tätsprüfung vorgenommen – die biometrische Über-
prüfung bei der Ausreise ist bereits in Vorbereitung.
Wie beurteilen Sie die Smart Borders-Initiative der
EU?
Bachenheimer: Die Smart Borders-Initiative der
EU, wie im Gesetzesentwurf für Ein-/Ausreise-
systeme vorgesehen, konzentriert sich in erster
Linie auf die Ermittlung von Überschreitungen
der Aufenthaltsdauer bei Drittstaatsangehörigen
– sowohl von der Visumspflicht befreiten Reisen-
den als auch von Visumsinhabern. Die Suche nach
secuview 2/2015 11
International
Ein- und Ausreisestempeln zur Feststellung, ob ein
Drittstaatsangehöriger bereits mehr als 90 Tage des
180-tägigen Zeitraums absolviert hat, ist zu um-
ständlich, als dass sie mit gewisser Regelmäßigkeit
durchgeführt wird. Deshalb bleiben Überschreitun-
gen der Aufenthaltsdauer häufig unentdeckt.
Klar ist, dass die EU durch biometrische Überprü-
fungen nicht nur besser sicherstellen kann, dass der
autorisierte Dokumenteninhaber die Grenze über-
quert hat und nicht nur das Reisedokument, sondern
vor allem Ein- und Ausreisevorgänge zuverlässiger
protokolliert, die Aufenthaltsdauer schneller be-
rechnet und Überschreitungen der Aufenthaltsdauer
schließlich gemeldet werden können.
Angesichts der Ermittlung von Überschreitungen der
Aufenthaltsdauer ist es interessant, dass der Geset-
zesentwurf Strafverfolgungsmethoden in den ersten
zwei Betriebsjahren ausdrücklich ausschließt, und in
meinen Augen liegen die größten Unbekannten da-
rin, welche biometrischen Identifikatoren erhoben
und wie lange diese aufbewahrt werden müssen.
Sollten die Gesetzgeber die Erhebung verschiedener,
zur Deduplikation ausreichender Fingerabdrücke,
Gesichts- und Irisbilder bei der erstmaligen Grenz-
überschreitung sowie eine rationalisierte biometrische
Überprüfung (angepasst an die spezifische Flug-
hafen- bzw. Seehafen- oder Bodengrenzumgebung)
bei allen nachfolgenden Grenzüberschreitungen
ermöglichen, wird der Aufwand der biometrischen
Verarbeitungsprozesse bei der Ein- und Ausreise
aller Drittstaatsangehörigen deutlich verringert.
Die vorgeschlagene Aufbewahrungsfrist von sechs
Monaten würde häufigere Neuregistrierungen von
relativ viel reisenden Personen erfordern. Dies
würde durch die für das optionale Registered
Traveler Program (RTP) vorgeschlagene fünfjährige
Das Smart Borders Programm ist eine Initiative der EU-Kommission, die zum Ziel hat effizientere Ein- und
Ausreisen für Nicht-EU-Bürger zu ermöglichen. Ab 2020 werden die Schengen-Außengrenzen mit einem
Entry/Exit System (EES) intelligent. Verbesserte Kontrollabläufe sollen dabei Sicherheit und Komfort er-
höhen. Zudem können Vielreisende mit dem geplanten Registered Traveler Program (RTP) schneller die
Grenze passieren – die aufwändigen Einreisebefragungen entfallen für sie.
Innerhalb des Pilotprojekts in Deutschland werden nicht nur wie in anderen am Piloten teilnehmenden Mit-
gliedstaaten neue Geräte für die Aufnahme von biometrischen Daten der Reisenden während der Grenz-
kontrolle getestet, sondern insbesondere alle veränderten Prozesse und deren Auswirkungen auf den
gesamten Grenzkontrollverlauf untersucht. Deutschland ist hierbei der einzige Mitgliedstaat, welcher die
EES-spezifischen Kontrollprozesse vollständig Ende zu Ende erprobt und den Einfluss auf den geplanten
Grenzkontrollprozess evaluiert (siehe auch Seite 15).
secunet begleitet das Projekt während der gesamten Aufbau- und Durchführungsphase, konzeptioniert
und betreut die Prozesse, wertet die Ergebnisse aus und liefert moderne Grenzkontrolltechnik. Die secunet
Experten können dabei auf die Erfahrungen aus zahlreichen großen Biometrie- und Grenzkontrollprojekten
zurückgreifen, die sie im In- und Ausland in den vergangenen Jahren durchgeführt haben.
Smart Borders:Pilotprojekt der EU-Kommission
>>>
12 secuview 2/2015
International
Aufbewahrungsfrist gemildert werden. Unter der Vor-
aussetzung, dass der RTP Registrierungsprozess
einfach gestaltet wird, wären die negativen Auswir-
kungen minimal.
Die automatisierte Grenzkontrolle spielt eine
wichtige Rolle bei der Smart Borders-Initiative der
EU – was halten die USA von ABC?
Bachenheimer: Wie bereits erwähnt, unterbinden
ABCs die für die meisten Reisenden gesetzlich vor-
geschriebene, persönliche Befragung durch einen
Beamten der Einwanderungsbehörde. Und obwohl
die meisten ABCs den Beamten die Möglichkeit
geben, die Vorgänge zu beaufsichtigen und bei Be-
darf einzugreifen, sind viele Beamte der Einwan-
derungsbehörde, mit denen ich gesprochen habe,
der Ansicht, dass sich dieses Vorgehen nicht aus
der Ferne steuern lässt. Diese Meinung vertreten
übrigens nicht nur Beamte der US-amerikanischen
Einwanderungsbehörde, vielmehr zählt dies zu den
Hauptgründen, warum der Einsatz der ABCs in
einigen Ländern beschränkt wurde.
In den USA breiten sich Lösungen zur Automated
Passport Control (APC – automatisierte Passkon-
trolle) und Mobile Passport Control (MPC – mobile
Passkontrolle) rasch aus, insbesondere erstere. Mit
Hilfe von APCs kann ein Großteil der Personen, die
in die USA einreisen möchten, die Einreiseinforma-
tionen selbstständig registrieren, so dass sich der
Beamte der Einwanderungsbehörde dann bei der
Befragung einzig darauf und nicht zusätzlich auf die
Datenerfassung konzentrieren muss. Die Gesamt-
dauer der Grenzkontrolle kann dadurch um rund
ein Drittel verkürzt werden. Ich bin der Meinung,
dass wir einen verstärkten Informationsaustausch
zwischen Grenzkontrollbehörden und Privatsektor
erleben werden – um das Reiseerlebnis zu opti-
mieren und die Sicherheit zu erhöhen. n
* Freie Übersetzung aus http://www.cbp.gov/travel/international-visitors/applying-admission-united-states
Termine Januar bis Juni Haben Sie hierzu Fragen oder
möchten Sie sich anmelden?
Schicken Sie uns gern eine E-Mail
» ELSTER dialog / Hannover
» Informationstag Wasser – IT-Sicherheit für Wasser- und Abwasserunternehmen / Mainz
» RemoteServiceForum – Connected Service World / Karlsruhe
» E-world energy & water / Essen
» Mobile World Congress / Barcelona, Spanien
» RSA Conference / San Francisco, USA
» 49. Essener Tagung für Wasser- und Abfallwirtschaft / Essen
» CeBIT / Hannover
» Passenger Terminal Expo / Köln
» FIDAE / Santiago de Chile, Chile
» Workshop „IT Security on Board“ / München
» AFCEA-Fachausstellung / Bonn
» Security Document World / London, UK
» Hauptversammlung secunet / Essen
» NITEC / Tallinn, Estland
» DuD – Datenschutz und Datensicherheit / Berlin
» Zukunftskongress Staat & Verwaltung / Berlin
» SINA Anwendertag / Berlin und Bonn
18. Jan. 2016
26. Jan. 2016
16. – 17. Febr. 2016
16. – 18. Febr. 2016
22. – 25. Febr. 2016
29. Febr. – 04. März 2016
02. – 04. März 2016
14. – 18. März 2016
15. – 17. März 2016
29. März – 03. April 2016
08. April 2016
27. – 28. April 2016
10. – 12. Mai 2016
12. Mai 2016
07. – 09. Juni 2016
13. – 15. Juni 2016
21. – 22. Juni 2016
Termine folgen
secuview 2/2015 13
International
ach erfolgreicher Umsetzung der ersten
automatisierten Grenzkontrollschleusen seit
Ende 2011 gewann secunet gemeinsam mit
dem tschechischen Partner Vitkovice IT Solutions
a.s. (VITSOL) erneut den Folgeauftrag. Die tsche-
chische Grenzpolizei setzte mit ihrer Entscheidung
auf ein erprobtes System. Die Grenzkontrolllösung
des Projektes EasyGO, 2012 bereits als IT-Projekt
des Jahres ausgezeichnet, wird auch zukünftig die
Schengen-Außengrenzen sichern. Seit dem Sommer
dieses Jahres stehen zusätzliche sechs eGates im
Ankunftsbereich und weitere vier im Abflugbereich
des Flughafens Prag für Passagiere bereit. secunet
lieferte dabei nicht nur die „schlüsselfertigen“
easygates, sondern die gesamte Infrastruktur
einschließlich Terminal Control Center, bioserver
und der Wartung des laufenden Betriebs für die
nächsten Jahre.
Der Prager Flughafen registriert bereits seit einigen
Jahren stark wachsende Passagierzahlen. Die Stadt
ist weltweit beliebt – bei Touristen ebenso wie bei
Geschäftsleuten. „Wir setzen mit der Lösung von
VITSOL / secunet ein bewährtes System fort und
möchten unseren internationalen Gästen modernste
Technik und hohe Sicherheit bieten können. Wir
lehnen uns gern an die deutsche Grenzkontroll-
lösung EasyPASS an, die mit vier Millionen Pas-
sagierdurchgängen bis Juli 2015 überzeugt hat“,
berichtet Petr Malovec, Leiter des nationalen Zen-
trums für Grenzsituationen bei der tschechischen
Grenzpolizei.
Im vergangenen Jahr konnte secunet bereits mit
dem Konsortialpartner Bundesdruckerei die Grenz-
kontrolllösung der großen deutschen Flughäfen
für die Bundespolizei mit EasyPASS realisieren.
Dr. Rainer Baumgart bewertet die erneute Beauf-
tragung in Tschechien so: „Die Erfahrungen aus
vielen Projekten und der Zusammenarbeit mit
hervorragenden Partnern fließen in die stetige
Weiterentwicklung unserer Produkte ein. Dies ist ein
wichtiger Erfolgsfaktor, der uns auch international
hohe Anerkennung verschafft, so auch erst kürz-
lich bei einem Pilotprojekt am Flughafen Mailand
Malpensa.“ n
Mehr Informationen:
Oliver Jahnke
Flughafen Prag bautEasyGO weiter aus
Die tschechische Grenzpolizei baut das Projekt EasyGO am Prager Flughafen Václav Havel um weitere zehn eGates aus.
N
International
14 secuview 2/2015
Herr Rahmun, welche Bedeutung hat die Smart
Borders Initiative für die Grenzkontrollsysteme in
Europa?
Rahmun: Smart Borders adressiert verschiedene
Herausforderungen, mit denen heutzutage die für die
Grenzkontrolle zuständigen Behörden in Europa kon-
frontiert sind. Diese Herausforderungen sind z. B. eine
verlässliche Identifizierung der Reisenden unabhän-
gig von den bei sich geführten Ausweispapieren, ein
möglicher Austausch des Pass-Reisestempels durch
einen elektronischen Stempel und damit verbunden
eine Vereinfachung der Kontrolle der Aufenthalts-
dauer sowie grundsätzlich die Erhöhung der Durch-
satzzahlen durch die weitgehende Automatisierung
des Grenzprozesses. Dabei werden die Grenzkontroll-
beamten letztendlich immer die einzige und letzte
Entscheidungsinstanz bei einem Grenzübertritt sein.
Eine notwendige Aufgabe für die Zukunft wird darin
bestehen, die Beamten mit weiteren technischen
Hilfsmitteln bei dieser Aufgabe zu unterstützen, so
dass die Qualität der eigentlichen Grenzkontrolle
gewährleistet und idealerweise verbessert werden
kann.
Welche Gemeinsamkeiten, aber auch welche
Unterschiede gibt es zwischen Smart Borders und
US-VISIT?
Rahmun: Die US-Behörden haben bei der Einfüh-
rung ihres Ansatzes eine entsprechende Lernkurve
durchlaufen, die wir hier in Europa berücksichtigen
Smart Borders-Testsin der EUDeutsches Pilotprojekt mit viel Weitblick und Sensibilität. Die kontinuierlich steigende Zahl an Reisenden stellt Grenzkontroll-prozesse vor große Herausforderungen.
Im Interview:
Fares Rahmun ist seit zehn Jahren beim Bundesverwaltungsamt (BVA) als IT-
Projektleiter für behördliche IT-Lösungen beschäftigt und verantwortet in dieser
Funktion die technische Integration des europäischen Visa-Informationssystems
(VIS) in Deutschland.
Er führte etliche nationale und europäische Pilotprojekte durch und ist Mitglied
zahlreicher Expertengruppen im Umfeld Biometrie, Visa und Grenzkontrolle.
Aktuell ist Fares Rahmun auch der technische Projektleiter für die Smart
Borders-Initiative der EU beim BVA.
secuview 2/2015 15
sollten. Gerade aus diesem Grund war es Deutsch-
land wichtig, einen sehr umfassenden Blick auf das
Verfahren zu werfen, um möglichst viele relevante
Aspekte in der kommenden Entwicklung mitge-
stalten zu können. In den USA hat man sich bei der
Registrierung der Reisenden recht früh auf die Ver-
wendung insbesondere von Fingerabdrücken fest-
gelegt. Bei Smart Borders werden dagegen auch
Alternativen diskutiert. Weiter wird in Europa auch
das Thema Datenschutz dezidiert betrachtet, was
Aspekte wie Menge der erfassten Daten, Dauer der
Datenspeicherung, entstehende Datenqualität und
-pflege sowie möglichen Datenzugriff angeht. Auch
hier fließen Erkenntnisse des Piloten mit ein.
Deutschland hat sich als EU-Mitglied am Smart
Borders Piloten beteiligt. Welche Erfahrungen wurden
im Pilotprojekt gesammelt und welche Rolle hat das
Bundesverwaltungsamt (BVA) bei der Pilotierung
gespielt?
Rahmun: Deutschland hat sich, im Gegensatz zu al-
len anderen Teilnehmerstaaten, für eine Pilotierung
unter Realbedingungen entschieden. Die anderen
Teilnehmerstaaten haben primär neue biometrische
Geräte evaluiert, wir haben hingegen den gesamten
tatsächlichen Grenzkontrollprozess pilotiert. Das
Bundesverwaltungsamt hat hierbei unter anderem
den Betrieb aller benötigten Hintergrundsysteme
zur Verfügung gestellt, um das zukünftige Verfah-
ren vollständig zu simulieren. Wir konnten ermitteln,
welchen tatsächlichen zeitlichen Einfluss der Pro-
zess sowie die Technologie von Smart Borders auf
die existierende Grenzkontrolle haben, konnten die
Qualität der erfassten Daten bewerten sowie ergän-
zende Maßnahmen ableiten, die der Betrieb eines
solchen Systems unserer Meinung nach in der Zu-
kunft erfordern wird.
Welche technischen Lösungen werden unsere
Grenzen in Zukunft sicherer machen? Schließen sich
Sicherheit und Komfort bei der Grenzkontrolle aus?
Rahmun: Die Grenzkontrolle wird sich zukünftig
noch mehr den Herausforderungen der steigenden
Reisendenzahlen und der anwachsenden Migra-
tionsflüsse stellen müssen. Dies lässt sich voraus-
sichtlich nur durch eine zunehmende Automatisie-
rung der Grenzkontrollprozesse bei mindestens
gleichbleibender Kontrollqualität lösen, z. B. durch
entsprechende Kiosk-Systeme für die Selbstnutzung
durch den Reisenden. Auch hierzu gibt es bereits
Erkenntnisse aus dem Smart Borders Piloten, die
in Deutschland weiter evaluiert werden sollen.
Deutschland wird sich hier frühzeitig engagieren und
weiterhin möglichst praxistaugliche Erkenntnisse in
die Entwicklung einbringen.
Welche Bedeutung hat Biometrie für heutige und
zukünftige Grenzkontrollsysteme?
Rahmun: Die biometrischen Verfahren sind das
Kernelement zur verlässlichen Identifizierung der
Reisenden für die Grenzkontrolle. Schon historisch
gesehen haben beispielsweise die individuellen
Fingerabdrücke für die Identifizierung in der Krimina-
listik einen hohen Stellenwert, hier gibt es fundierte
gesammelte Erfahrungen und Erkenntnisse. Leider
lassen sich die kriminalistischen Ansätze aus Zeit-
und Kostengründen nur ansatzweise auf Szenarien
wie die der Grenzkontrolle übertragen, so dass hier
Alternativen mit dem Anspruch auf vergleichbare
Qualität gesucht werden müssen. n
International
„Biometrischen Verfahren sind das Kernelement zur verlässlichen Identifizierungder Reisenden für die Grenzkontrolle.“
Nach intensiver Evaluierung hat das Bundesamt für Sicherheit in der Informationstechnik die secunet eID PKI Suite,genauer gesagt den CA Kernel, nach Common Criteria EAL 4+ zertifiziert.
eID PKI Suite nachCommon Criteria zertifiziert
gesetzt. Als eine der führenden Nationen in Bezug
auf elektronische Reisedokumente und modernes
Grenzkontrollmanagement wird auch Norwegen
voraussichtlich ab Anfang 2016 diese Public-Key-
Infrastruktur als Sicherheitsgerüst nutzen: Neben der
secunet eID PKI Suite stellt secunet auch die Hard-
ware-Sicherheitsmodule bereit, unterstützt bei der
Installation und Konfiguration des Gesamtsystems
sowie beim Betrieb und der Wartung in den kom-
menden Jahren. n
Mehr Informationen:
Andreas Hellrung
ei den „Gemeinsamen Kriterien für die
Prüfung und Bewertung der Sicherheit
von Informationstechnik“ – kurz: Common
Criteria – handelt es sich um weltweit einheitliche
Prüfkriterien für die Sicherheitseigenschaften von
IT-Produkten und -Systemen. Diese sehen unter-
schiedliche Vertrauenswürdigkeitsstufen – Evalua-
tion Assurance Level (EAL) – vor, welche die Prüftiefe
festlegen. Die notwendige Stufe der Vertrauens-
würdigkeit wird durch das beabsichtigte Einsatzge-
biet festgelegt.
Die eID PKI Suite wird bereits seit 2011 von der
deutschen Bundespolizei für die Prüfung elektro-
nischer Dokumente an deutschen Grenzen ein-
B
16 secuview 2/2015
Das unabhängige Testat des BSI bescheinigt der bewährten Softwarelösung von secunet
formell die Eignung für Anwendungen mit besonderen Sicherheitsanforderungen und
somit die hohe Sicherheit „Made in Germany“.
Der Certified CA Kernel (C²K) der secunet eID PKI Suite hat die Zertifizierungs-
kennnummer BSI-DSZ-CC-0960-2015. Den Zertifizierungsreport finden Sie auf der
Homepage des BSI (www.bsi.bund.de; Themen / Zertifizierung und Anerkennung /
Zertifizierung von Produkten / Zertifizierung nach CC / Zertifizierte Produkte nach CC).
International
International
Sie implementieren in Norwegen zurzeit eine zentrale
PKI-Lösung für hoheitliche Anwendungen – für
welche genau?
Thoresen: Die Lösung wird genutzt, um die erfor-
derliche norwegische nationale EAC-PKI und ICAO-
PKI für Reisepässe und Aufenthaltsgenehmigungen
zu implementieren.
Was waren Ihre Beweggründe, im Pflichtenheft eine
CC-Evaluierung für die PKI vorzugeben?
Thoresen: Generell ist für die Installation einer
Hochsicherheits-PKI ein CC-evaluiertes PKI-System
die beste Wahl und in unserem Fall unverzichtbar,
da unsere PKI-Systeme gemäß dem norwegischen
Sicherheitsgesetz (Norwegian Security Act) zu den
kritischen Infrastrukturen zählen und hierfür be-
stehen besondere Sicherheitsanforderungen.
secuview 2/2015 17
Wie ist die Perspektive, was planen Sie weiterhin?
Thoresen: In Norwegen wird die eID PKI Suite nicht
nur für die Umsetzung der EAC- und ICAO PKI,
sondern auch für das NPKD (bereits im Einsatz), den
SPOC und auch das TCC eingesetzt . Das erste TCC,
an das die eGates am Flughafen Oslo-Gardermoen
angebunden sind, ist bereits im Produktivbetrieb.
2017 wird Norwegen eine nationale ID-Karte einfüh-
ren, die eventuell auch eine eID-Funktion beinhalten
wird. Für die Realisierung dieser eID-Funktion ist
unter anderem die eID PKI Suite ein aussichtsreicher
Kandidat. n
Drei Fragen zumnorwegischen PKI-Projekt anJohn Kristian Thoresen
John Kristian Thoresen
ist stellvertretender
Polizeichef der
nationalen Polizei-
direktion in Norwegen.
Im Interview:
Wissenschaft
18 secuview 2/2015
Internet-Sicherheit – if(is)* das Internet-Analyse-
System (IAS) initial entwickelt hat. Dieses wurde in
den folgenden Jahren zu einem Frühwarnsystem
mit weiteren Funktionen ausgebaut. Das IAS wird
seitdem aktiv für den Schutz der Kommunikation
zwischen Behördennetzen und dem Internet sowie
für die Forschung im Bereich der Internetsicherheit
genutzt.
Vor dem Hintergrund zunehmender Gefahren aus
dem Internet und wachsender Datenmengen mit im-
mer größeren Unternehmenswerten, die zunehmend
auch in der Cloud gespeichert werden, entstand aus
dem IAS das innovative Produkt spotuation. Ziel von
spotuation ist es, Unternehmen die Möglichkeit zu
geben, ihre Netzwerke weitestgehend eigenständig
potuation bietet Unternehmen die Möglich-
keit, Lücken im Unternehmensnetzwerk –
beispielsweise durch veraltete Software-
versionen, fehlende Updates der Betriebssysteme,
alte Browserversionen und Verschlüsselungen – auf-
zuspüren, bei der Beseitigung zu unterstützen und
die Veränderungen auf einer umfangreichen Daten-
grundlage kontinuierlich zu messen. Darüber hinaus
macht spotuation die aktuelle Kommunikationslage
sichtbar, zeigt eventuelle Bedrohungen auf und er-
möglicht eine Benchmark mit anderen Unternehmen
in der Branche.
Angefangen hat alles mit einer Auftragsforschung
für das Bundesamt für Sicherheit in der Informati-
onstechnik (BSI), in deren Rahmen das Institut für
Eine angemessene IT-Sicherheit ist mittlerweile ein Grundbau-stein für den Unternehmenserfolg. Bei allen Diskussionen um möglicherweise nötige IT-Sicherheitsmaßnahmen werden die eigenen grundlegenden Abwehrmechanismen oft vergessen. Für eine innovative Internet- und Netzwerksicherheit – konform mit dem deutschen Datenschutz – gibt es nun eine neue Lösung, die die eigenen Resistenzen stärkt: spotuation.
secunet unterstützt Marktgang derfinally safe GmbH
S
Wissenschaft
Was genau ist spotuation?
Böffel: Eine wichtige Grundfunktion von spotuation
ist die Erfassung und übersichtliche Darstellung des
Ist-Zustandes der Kommunikationslage, das soge-
nannte Echtzeitmonitoring. Hier werden die wich-
tigsten sicherheitsrelevanten Internet- und Netz-
werkparameter kontinuierlich sichtbar gemacht.
besser abzusichern. Bereits in der Entwicklungsphase
zählten das BSI, führende Telekommunikationsan-
bieter sowie mittlere und große Unternehmen zu den
Forschungspartnern.
Nun entwickelt die neu gegründete Gesellschaft
finally safe die vorhandene Plattform weiter: Es
werden wertvolle Informationen über Sicherheitsan-
forderungen in verschiedenen Kundensegmenten
erfasst und die bereits genutzten Technologien
Im Interview erklären die beiden Geschäftsführer des neuen Joint Ventures finally safe GmbH, Michael Böffel und Dominique Petersen, das Produkt spotuation:
Damit kann sich der Nutzer immer einen schnellen,
intuitiven Überblick über die aktuelle Kommunika-
tionslage verschaffen. Der reale Datenverkehr und
potenzielle Angriffe können unmittelbar verfolgt und
sofort entsprechende Gegenmaßnahmen eingeleitet
werden.
optimiert, um Bedrohungen und Angriffe zukünftig
noch besser analysieren zu können. secunet hält
an finally safe eine Minderheitsbeteiligung und wird
das Start-up-Unternehmen dabei unterstützen, die
Technologie erfolgreich am Markt zu platzieren. n
Mehr Informationen:
Michael Böffel
secuview 2/2015 19
Dominique Petersen (links) war über acht Jahre
lang Forschungsbereichsleiter für Internet-Früh-
warnsysteme am Institut für Internet-Sicherheit
an der Westfälischen Hochschule in Gelsenkirchen.
Hier leitete und realisierte er erfolgreich viele
Forschungs- und Entwicklungsprojekte.
Michael Böffel (rechts) ist seit 1999 in mehreren
leitenden Positionen bei der secunet Security
Networks AG beschäftigt. Er arbeitet in diversen
Gremien mit, z. B. im BITKOM e. V. und im Natio-
nalen IT-Gipfel der Bundesregierung. Zuvor war
er nach dem Studium der Nachrichtentechnik
in mehreren Unternehmen, wie z. B. Philips
Communication Industry und NEC tätig.
>>>
20 secuview 2/2015
Netzwerkstatus bzw. der Kommunikationslage aller
Teilnehmer analysiert und vergleichbar gemacht
werden. So können Unternehmen branchenspezifi-
sche Vergleiche heranziehen und damit sowohl die
aktuelle Bedrohungslage auf dem Markt als auch
ihre eigene Sicherheitslage besser einschätzen. Ein
Referenzsystem mit der Detailfülle gibt es sonst nicht
auf dem Markt.
Petersen: Ein Highlight wird die neuartige APT-
und Botnetzerkennung sein, mit der wir unter
anderem den Verkehr einzelner Bots anhand von
Kombinationsparametern wie Kommunikationsakti-
vitäten und C&C-Kommunikation erkennen können.
So können mögliche APTs und damit große Schäden
verhindert werden.
Böffel: Dank der Modularität ist die Lösung immer an
den jeweiligen individuellen Bedarf angepasst: Von
einer über den Browser angebotenen Basisversion
bis zu einer voll integrierten stationären Gesamt-
lösung für große Unternehmen.
Der Nutzer muss sich dann aber doch sicher nicht
selbst sein komplettes Kommunikationslagebild
händisch zusammenstellen?
Petersen: Nein, das wird ganz komfortabel gelöst.
Das Reputations- und das Referenzsystem werden
mit der automatischen Erstellung von Reporten ver-
knüpft. Diese enthalten dann eine übersichtliche
Darstellung der Kommunikationslage über einen
definierten Zeitraum. So bekommt der Nutzer regel-
mäßig eine überschaubare Darstellung der aktuellen
Kommunikationslage, anhand derer die IT-Experten
Wissenschaft
Ein Hauptfokus von spotuation liegt auf der Angriffs-
und Anomalieerkennung. Wie genau funktioniert
diese?
Petersen: spotuation analysiert und bewertet An-
griffs- und Gefahrensituationen, um eine fundierte
Basis für ein zeitnahes angepasstes Angriffshand-
ling zu schaffen. Die Datenerhebung erfolgt über den
spotuation-Sensor, der an der Schnittstelle vom in-
ternen Netzwerk zum Internet eingesetzt wird. Zur
Erkennung von Bedrohungen aus dem Internet
und gerade stattfindenden Angriffen setzen wir
auf intelligente Verfahren und die bereits vorhan-
dene Mächtigkeit der Sensorik. Anhand von Data-
Mining-Algorithmen identifizieren wir die wichtigs-
ten Kommunikationsmerkmale und prüfen diese mit
Signaturen und Anomalieerkennungsverfahren.
spotuation ist aber weit mehr als „nur“ Angriffser-
kennung. Vergleichbar mit einem Baukastensystem
kann das System individuell mit verschiedenen
Funktionen bestückt werden.
Böffel: Richtig. Ein weiterer wichtiger Punkt ist die
Aufdeckung von Schwachstellen im eigenen Netz-
werk. Dazu wurde ein Reputationssystem entwickelt,
mit dem sich die im Unternehmensnetzwerk verwen-
deten Technologien und Protokolle bewerten und
eventuell vorhandene Schwachstellen aufdecken
lassen. Aktuell wird daran gearbeitet, dass sich die
Bewertungen nach Möglichkeit (teil-)automatisieren
lassen. Das Reputationssystem ist optional für die
generierten Reporte lieferbar.
Des Weiteren haben wir ein Referenzsystem ent-
wickelt, in dem anonym gesammelte Daten des
Unternehmensnetzwerk
Internet
spotuation-Sensor
Firewall, ggf. IDS/IPS Router/Switch
Wissenschaft
secuview 2/2015 21
In welchem Bereich soll finally safe aktiv werden?
Prof. Dr. Pohlmann: Das neue Start-up-Unterneh-
men finally safe GmbH wird in dem wichtigen und
größer werdenden Markt der Lagebildgenerierung
und Frühwarnsysteme aktiv werden, dem in den
nächsten Jahren eine besondere Bedeutung zukom-
men wird, insbesondere auch durch die Etablierung
des IT-Sicherheitsgesetzes.
Welche Bedeutung hat das Joint Venture?
Prof. Dr. Pohlmann: Mit dem Joint Venture ist ein
erfolgreicher Technologietransfer zwischen dem
Institut für Internet-Sicherheit und secunet in einem
wichtigen IT-Sicherheitsbereich umgesetzt worden.
Sehr gute junge Wissenschaftler der Westfälischen
Hochschule entwickelten in mehreren Jahren die
innovative Technologie spotuation, die helfen wird,
unsere moderne Gesellschaft sicherer zu machen. n
Prof. Dr. Norbert Pohlmann,geschäftsführender Direktordes if(is), zu finally safe:
im Unternehmen immer den aktuellen „Gesundheits-
zustand“ des Netzwerkes ablesen und IT-Sicher-
heitsprobleme schneller erkennen, bewerten und
beheben können, um den Grundschutz stark zu
erhöhen. n
* Das Institut für Internet-Sicherheit – if(is) ist eine innova-tive, unabhängige und wissenschaftliche Einrichtung der Westfälischen Hochschule. Neben der Forschung und Entwicklung bietet das if(is) Dienstleistungen auf dem Gebiet der Internetsicherheit.
Im Interview:
Prof. Dr. Norbert Pohlmann ist Informatikprofessor
für Verteilte Systeme und Informationssicherheit
im Fachbereich Informatik sowie Leiter des
Instituts für Internet-Sicherheit. Darüber hinaus
ist er sehr aktiv im Umfeld der IT-Sicherheit, unter
anderem ist er Vorstandsvorsitzender des IT-
Sicherheitsverbandes TeleTrusT Deutschland e. V.
22 secuview 2/2015
Wissenschaft
SINA SOLID –prämiert und patentiertfür VPN-Vernetzung
Die einzigartige Technologie SINA SOLID (Secure OverLay for IPsec Discovery) ist eine neue Funktion für die SINA L3 Box und das erfolgreiche Ergebnis eines mehrjährigen Forschungsprozesses. SINA SOLID kann sehr große und flexible IPsec-Netze automatisiert konfigurieren und steigert dabei deutlich die Performance auf höchstem Sicherheits- niveau – ab Mai 2016 mit Zulassung durch das BSI.
Wissenschaft
Dynamische IPsec-basierte Sicherheitsbeziehungen im Overlay-Ringnetz durch Autokonfiguration
Private
VPN-FreigabeÖffentliches Multi Protocol Layer Switching (MPLS)-Transportnetz
SINA SOLID entstand aus einer prämierten Forschungskooperation mit der Technischen Uni-
versität Ilmenau (3. Preis beim Deutschen IT-Sicherheitspreis 2010, GI/ITG/VDE Communica-
tion Software Award 2013, Thüringer Forschungspreis für angewandte Forschung 2013). Nach
mehrjähriger gemeinschaftlicher Forschungs- und Entwicklungsarbeit, die auch im Kontext
zweier Forschungsprojekte (Mobil-SOLID-SINA und DoSResist-VPN) vom Bundesministerium für
Bildung und Forschung gefördert wurde, erlangt SINA SOLID nun die Produktreife. Gleichzeitig
wird die BSI-Zulassung für VS-NfD im zweiten Quartal 2016 erwartet.
Durch die automatisierte Konfiguration von Sicherheitsbeziehungen verbessert SINA SOLID den
bisherigen VPN-Ansatz. Frei werdende Administrations-Ressourcen können nun anderweitig
genutzt werden, ohne die Fehleranfälligkeit der Systeme zu erhöhen. Der SOLID Cluster ver-
spricht darüber hinaus Ausfallsicherheit und hohen Durchsatz. Insbesondere große Infrastruktu-
ren können durch SINA SOLID komplexe Regelwerke vereinfachen, und das unter Beibehaltung
der IT-Sicherheit im Sinne der BSI-Zulassung für VS-NfD.
Die Entwicklung derSINA SOLID Komponente
>>>
secuview 2/2015 23
INA SOLID ermöglicht eine dynamische
VPN-Vernetzung, die automatisch die
Verbindung zwischen den einzelnen Netz-
knotenpunkten konfiguriert. Dabei bleiben alle
Sicherheitseigenschaften von IPsec und SINA
vollständig erhalten. Der Verwaltungsaufwand in
großen und komplexen Netzen wird erheblich re-
duziert, da das System selbsttätig auf Änderungen
im Netzwerk reagiert und ein manuelles Eingreifen
nicht mehr erforderlich ist.
VPN auf Basis von IPsec bieten einen weitreichen-
den Schutz gegen Angriffe auf die Vertraulichkeit
und Integrität übertragener Daten. Wegen ihrer
komplexen und oft statischen Konfiguration ist je-
doch die Integration neuer IPsec-Gateways in ein
Netzwerk oder die Anpassung von Routen im VPN
oft mit größerem Aufwand verbunden. In der Regel
erfolgt die Konfiguration der häufig dazu eingesetz-
ten IPsec-Infrastrukturen manuell. Das bedeutet:
Selbst bei großen Netzwerken werden zwischen
S
Automatische Optimierung der IPsec-basierten Sicherheitsbeziehung je nach Verkehrsbedarf und Topologieänderung
Wissenschaft
24 secuview 2/2015
Bei der Entwicklung von SOLID stand für uns
am Fachgebiet Telematik / Rechnernetze der TU
Ilmenau die wissenschaftliche Fragestellung im
Mittelpunkt, wie man ein flexibles Konfigurations-
verfahren für IPsec-VPN so gestalten kann, dass es
einerseits gegenüber einer manuellen Konfiguration
von IPsec-Assoziationen keinerlei Einschränkungen
in Bezug auf Sicherheitseigenschaften aufweist, es
andererseits jedoch auch den manuellen Verwal-
tungsaufwand auf ein Minimum senkt und zudem
dynamisch auf Änderungen der Netzsituation re-
agieren kann. Weiterhin war es unser Ziel, den Nach-
richtenaufwand des Protokolls für die Eingliederung
von VPN-Gateways, das dynamische Auffinden von
für einen (roten) Netzbereich zuständigen Sicher-
heitsgateways und weitere Protokollfunktionen
Prof. Dr. Günter Schäferzu SINA SOLID:
Prof. Dr. Günter Schäfer
ist Professor und Leiter
des Fachgebiets Telema-
tik / Rechnernetze an der
Universität Ilmenau und
seit Mai 2014 Mitglied des
secunet Aufsichtsrats.
den beteiligten IPsec-Gateways paarweise Sicher-
heitsbeziehungen eingerichtet. Dieses Verfahren,
bei dem der Aufwand mit der Anzahl der IPsec-
Gateways exponentiell wächst, kann kostenintensiv
werden und fehleranfällig sein. Dabei sind die Ver-
fügbarkeit des Netzes und die Betriebskosten für
zentrale Knotenpunkte ausschlaggebende Kriterien
für die Etablierung von VPN.
SINA SOLID ermöglicht die dynamische VPN-
Vermaschung durch die automatisierte Konfigura-
tion für große bis sehr große Netzinfrastrukturen.
Es reagiert auf Topologieänderungen und Wege-
redundanz zur Laufzeit. Vor allem bei komplexen,
potenziell stark vermaschten VPN-Topologien kann
dadurch der Verwaltungsaufwand gering gehalten
werden. Dabei ist ein schneller Kommunikations-
aufbau gewährleistet. Zudem wird die Sabotage-
resistenz gegenüber Denial-of-Service-Angriffen
(DoS-Angriffen) gesteigert und durch selbstopti-
mierende Wegewahl zwischen SOLID Knoten eine
dynamische Reaktion auf Ausfälle erlaubt.
Die Koordination der VPN-Vermaschung übernimmt
das transparente und gesicherte Overlay-Netz-
werk selbst. Es steuert die dynamische Anordnung
aller VPN-Teilnehmer in einem logischen Ring und
ermöglicht allen Knoten die Suchanfragen zum Auf-
bau von Sicherheitsbeziehungen. Alle Routinginfor-
mationen werden somit von den VPN-Knoten selbst
vorgehalten und einer regelmäßigen Optimierung
unterzogen.
SINA SOLID ist das erste Produkt für dynamische
und automatisierte VPN-Vollvermaschung, das eine
Zulassung vom Bundesamt für Sicherheit in der
Informationstechnik (BSI) anstrebt, und wird ab
dem zweiten Quartal 2016 verfügbar sein. Als neues
Feature wird es mit der Softwareversion 3.9 für die
SINA L3 Box S bereitgestellt. SINA SOLID gehört
somit zu den zentralen IT-infrastrukturellen Kern-
komponenten der SINA Produktwelt.
so gering wie möglich zu halten, um einen hoch-
skalierbaren Betrieb auch in sehr großen VPN
mit mehreren tausend Sicherheitsgateways und
roten Netzen zu ermöglichen.
Die zentrale Idee von Dr. Michael Roßberg, der in
den Jahren 2007 bis 2011 an unserem Fachgebiet
über dieses Thema promoviert hat, war es, hierzu
die Gateways in einer dem Peer-to-Peer-Ansatz
Chord-ähnlichen Ringstruktur mit zusätzlichen Quer-
verbindungen anzuordnen, wobei durch Mecha-
nismen zur Einrichtung von Tunnelkonfigurationen
auch indirekte Szenarien (Sicherheitsgateways hinter
Sicherheitsgateways) unterstützt werden können.
SOLID nimmt dabei im Gegensatz zu anderen am
Markt erhältlichen oder in der Literatur vorgeschla-
genen IPsec-Autokonfigurationsverfahren keinerlei
Veränderungen an dem Schlüssel-Management
oder dem Protokoll zur Einrichtung von Sicherheits-
Wissenschaft
Die Vorteile von SOLID
Die Autokonfiguration
- Senkung des Konfigurations- und Verwaltungs-
aufwandes
- Sicherheitsbeziehungen werden automatisch
konfiguriert
- Routing-Informationen werden im Netz selbst
gehalten
- Topologieänderungen erfolgen dynamisch zur
Laufzeit
- Dynamische Vermaschung nach Verkehrsbedarf
Die Hochverfügbarkeit
- Clusterbildung durch SOLID vor zentralen Infra-
strukturknoten
- Redundante Wegewahl zur Laufzeit im SOLID
Verbund
- Hohe Sabotageresistenz durch Wegfall zentraler
Konzentratoren
- Dynamische Reaktion des Netzes auf Knoten-
ausfall
Die Performance
- Lastverteilung innerhalb des SOLID Clusters
- Selbstoptimierende Wegewahl im SOLID Verbund
- Schneller Verbindungsaufbau für VoIP-Szenarien
Die Sicherheit
- Ganzheitliches IT-Sicherheitskonzept der
SINA L3 Box S
- Gehärtete und evaluierte SINA OS-Systemplatt-
form
- Smartcard-Technologie
- Zulassungskonform konfigurierte Software und
Funktionalitäten n
Mehr Informationen:
David Ristow
assoziationen (SA) vor, sondern gibt dem stan-
dardisierten IPsec-Programm zur Einrichtung von
SAs lediglich Anweisungen, mit welchen anderen
Gateways und Parametern herkömmliche IPsec-SAs
eingerichtet werden sollen. Dadurch kommt es zu
keinerlei Beeinträchtigung der Sicherheitseigen-
schaften von IPsec.
Zusätzliche Protokollmechanismen für die automati-
sierte Bildung von Gateway-Clustern zur Leistungs-
steigerung per automatisierter Lastbalancierung,
zur proaktiven Etablierung von Backup-Pfaden und
zur schnellen Erkennung von Netzwerk- oder Gate-
way-Ausfällen ermöglichen es darüber hinaus, so-
wohl im Fehlerfall als auch bei akuten Sabotage-
angriffen – sofern netztopologisch möglich – schnell
auf alternative Pfade im Netz umzuschalten, und
bieten damit Reaktionsmöglichkeiten zur Steige-
rung der Verfügbarkeit, die weit über die Agilität bis-
heriger Konfigurationsverfahren hinausgehen.
secuview 2/2015 25
Ein schönes Paarie neue microSD-Smartcard als neuer
Formfaktor der SINA ID Token wird der
handlichen und kompakten Form des SINA
Tablets gerecht: Der gesteckte SINA USB-Adapter
mit der Karte steht gerade einmal sechs Millimeter
aus dem Tablet heraus. Somit bietet die microSD-
Karte auf kleinstem Raum höchstmöglichen Schutz
für Authentifizierungen, Integritätsschutz sowie für
Verschlüsselung. Dank des großen Speicherplatzes
kann von ihr sogar die SINA Workstation gebootet
werden. Selbstverständlich kann die microSD-Smart-
card in Kombination mit dem Adapter auch an
allen anderen SINA Geräten ab Softwareversion
D3.3.2 der SINA Workstation als sehr hand-
liches SINA ID Token verwendet werden.
Mit der aktuellen STARCOS 3.5 Smartcard verfügt die
microSD-Karte über einen verbesserten Zufallszah-
lengenerator und unterstützt zukünftig auch 384-Bit-
EC-Kurven. Mit diesen Vorteilen ist STARCOS 3.5
als Smartcard und USB-Token auch für alle anderen
SINA Produkte verfügbar. n
Mehr Informationen:
Armin Wappenschmidt
Die neue SINA L3 Box S lässt sich selbstverständlich
auch im SINA SOLID Cluster betreiben. Dafür erfolgt
eine variable Parallelschaltung der SINA L3 Boxen,
um Bandbreitenanforderungen im Rechenzentrum
maßgeschneidert bedienen zu können. Für die SINA
L3 Box S 5G bedeutet das beim Einsatz von z. B.
zwei Boxen, dass unter optimalen Bedingungen ein
summierter Durchsatz von 10 GBit/s Kryptoleistung
abgerufen werden kann. Durch die beliebige Skalie-
rung des SINA SOLID Clusters ist dieser Bandbrei-
tenanforderung nach oben keine Grenze gesetzt. n
Mehr Informationen:
David Ristow
ls Nachfolger der SINA L3 Box 3G bietet die
neue SINA L3 Box S 5G mit 5 GBit/s eine
deutlich höhere Verschlüsselungsleistung
für durchschnittliche Paketgrößen. Die Performance-
Erhöhung wird mit der Software-Version 3.9 für die
neue Hardwarekomponente zur Verfügung gestellt.
Die Steigerung der Verschlüsselungsleistung wird
zudem durch Verbesserungen in der SINA-Software
erreicht. Sie ist optimal zugeschnitten auf die neue
Hochleistungs-Plattform mit VS-NfD-Zulassung.
Die SINA L3 Box S 5G ist mit einem Prozessor der
neusten Intel Xeon E5 v3 Familie mit bewährter Has-
well-Architektur ausgestattet. Weitere Features und
Ausstattungsmerkmale sind die redundante Long-
Life Power-Supply, neun Jahre MTBF, vier flexibel
bestückbare SFP-Module für Kupfer (bis 1 GBit/s)
und Glasfaseranbindung (bis 10 GBit/s) sowie sechs
feste Kupferports.
Die SINA L3 Box S wird noch schneller
A
Technologien & Lösungen
26 secuview 2/2015
Dr. Rainer Baumgart übergibt ein SINA Tablet an den BSI-Präsidenten Michael Hange.
Das SINA Tablet auf Basis des Microsoft Surface Pro3 wurde von secunet und Micro-
soft gemeinsam entwickelt und ermöglicht jederzeit das sichere mobile Arbeiten bei
gewohntem Komfort.
V. l. n. r.: Michael Kranawetter, Microsoft Deutschland, National Security
Officer – Andreas Könen, Vizepräsident des BSI – Dr. Rainer Baumgart,
Vorstandsvorsitzender der secunet – Michael Hange, Präsident des BSI –
Alexander Britz, Microsoft Deutschland, Public Sector
secuview 2/2015 27
taatssekretär im Innenministerium Klaus
Vitt (rechts) beim Besuch auf dem secunet
Messestand auf der it-sa 2015 mit secunet
CTO Dr. Kai Martius (links) und secunet COO
Torsten Henn. Als zuständiger Staatssekretär für
Informationstechnik und Verwaltungsmodernisie-
rung informierte er sich über Produkte zur sicheren
Kommunikation und secunet Sicherheitslösungen
als Antworten auf aktuelle Fragestellungen in der
Bundesregierung. n
it-sa 2015
S
Kurz notiert
Herausgeber:secunet Security Networks AGKronprinzenstraße 30, 45128 Essenwww.secunet.com
secuviewabonnieren
Sie möchten die secuview regelmäßig und kostenlos zugesendet bekommen?
Wählen Sie zwischen der Print- und der E-Mail-Version. Anmeldung: www.secunet.com/secuview.
Hier haben Sie auch die Möglichkeit, Ihr Abonnement zu ändern oder zu kündigen.
Impressum
28 secuview 2/2015
Technologien & Lösungen
as manuelle Aufsetzen von SINA Clients
nimmt nicht nur viel Zeit in Anspruch,
sondern birgt auch Potenzial für Flüchtig-
keitsfehler. Der Einsatz eines SINA Installservers S
entlastet Systemadministratoren aus Unternehmen
und Behörden bei einem initialen Massenrollout von
SINA Workstation S und SINA Tablet S erheblich.
Mit dem SINA Installserver S wird das Aufsetzen,
Konfigurieren und Personalisieren von
SINA Clients automa-
tisiert. Und das bringt
D
Der SINA Installserver S macht einen sicherenautomatisierten Massenrollout von SINA Workstation Sund SINA Tablet S möglich.
Zeit ist kostbar
klare Vorteile: Installationsaufwände werden gering
gehalten – die automatisierte Installation ermöglicht
ein einfaches Ausrollen von individuell personalisier-
ten SINA Workstations S in großer Stückzahl. Zudem
wird der SINA Installserver S in einer sicheren Instal-
lationsumgebung betrieben und kann auf demselben
Server wie das SINA Management installiert werden.
Dort sind dann die Konfigurationsdaten und die
Installationspakete für die Clients hinterlegt. Der
Administrator kann dabei mit einem vorkonfigurierten
SINA ID Token den Prozess steuern, Installations-
fortschritte über Logdateien nachverfolgen und
diese für die spätere Auswertung verwenden. n
Mehr Informationen:
Jan-Dominik Müller
V. i. S. d. P.: Christine Skropke, [email protected] Redaktion, Konzeption und Gestaltung:Claudia Roers, [email protected]: Agentur für dynamisches Marketing, www.knoerrich-marketing.de
Urheberrecht: © secunet Security Networks AG. Alle Rechte vorbehalten. Alle Inhalte sind urheberrechtlich geschützt. Jede Verwendung, die nicht ausdrücklich vom Urheberrechtsge- setz zugelassen ist, bedarf der vorherigen schriftlichen Erlaubnis.Bildnachweis: Titel und S. 4, 5: Bundesamt für Sicherheit in der Informationstechnik; S. 2, 31: AG Sichere Identität, FB Mathematik und Informatik, Freie Universität Berlin, © 2009 GeoBasis-DE/BKG Image Landsat © 2013 Google US Dept of State Geographer; S. 6: Emschergenossenschaft; S. 13, 28: ThinkstockPhotos.de; Illustration S. 32: Lutz Lange; alle anderen: secunet
secuview 2/2015 29
IGewinn an Sicherheit stehen, lassen Unternehmen
zögern, die Industrial Control Systems (ICS) zu
aktualisieren. Zudem gelten die ICS aufgrund der
fehlenden direkten Verbindung mit dem Internet
häufig als unbekannt und isoliert. Ein fataler Trug-
schluss: Mit speziellen Suchmaschinen im Web wie
Shodan können potenzielle Ziele im Industriesteuer-
anlagenumfeld selbst von technisch unbedarften
Angreifern einfach aufgespürt werden.
So konnten mit dem Remote-Access-Trojaner
„Havex“ über das im Industriesteuerumfeld häu-
fig genutzte OPC-Protokoll wertvolle Daten von
OPC-Classic-Servern geladen und aus dem Unter-
nehmen gestohlen werden.
Sicherheitslücken aufdeckenWenn nun IT-Systeme mit einer extrem langen
Laufzeit von im Schnitt mehr als zehn Jahren nicht
oder nur unzureichend aktualisiert für Fernwartungs-
zwecke mit dem Internet oder anderen unsicheren
Netzen verbunden werden, gibt es nicht nur eine
ndustrielle Steuerungssysteme sind aus Ha-
ckersicht dankbare Angriffspunkte für Spionage,
Sabotage oder Datendiebstahl. Zu einfach ist
der Zugriff:
1. Selbst heute noch werden Industriesteueranlagen
ohne weitere Schutzmaßnahmen mit dem Internet
verbunden – besonders kritisch bei bereits lange
bestehenden Anlagen, deren ursprüngliche Kon-
zeptionierung nie eine Internetverbindung vorsah
und entsprechende Sicherheitsmechanismen daher
fehlen.
2. Firmware und Betriebssysteme in den Steuer-
geräten sind nicht einfach zu patchen, Upgrades
und Aktualisierungen ziehen neben möglicherweise
nötigen Re-Zertifizierungen bei Firmware-Änderun-
gen immer eine längere Down-Time angeschlossener
Geräte nach sich. Die Folge: veraltete Systeme.
Doch nicht nur die Einschnitte in Prozess- und Wert-
schöpfungsketten, die meist in keiner Relation zum
secunet legt in der neuen Awareness-Veranstaltung, auch „Prozessnetz-Hacking“ genannt, erstmals den Fokus auf die Sicherheit in Industriesteueranlagen. In der interaktiven Schulung wird praxisnah gezeigt, welche Angriffsmöglichkeiten in einem typischen Industriesteuerungsnetzwerk denkbar sind.
Die Achillesfersen der Industriesteueranlagen
Technologien & Lösungen
30 secuview 2/2015
Achillesferse, sondern gleich eine Vielzahl. Welche
dies sind, zeigt secunet in der neuen Awareness-
Veranstaltung.
In der interaktiven Schulung werden typische
IT-Netzstrukturen eines Unternehmens mit ICS
betrachtet und spezielle Angriffspunkte aufgezeigt:
- Welche Angriffsmöglichkeiten bestehen im Office-
Netz, in dem die Abrechnungen erzeugt und die
Auslastungen der Anlagen ausgewertet werden?
- Welche Angriffstechniken sind in Fernwirknetzen,
die mehrere Anlagen überwachen und steuern,
erfolgversprechend?
- Was kann ein Angreifer machen, der sich direkten
Zugang zu einem Steuernetz mit SCADA-Kompo-
nenten verschafft hat?
Im großen Rahmen erstmals auf der it-sa 2015 sehr
erfolgreich vorgestellt, werden in dem „Prozess-
netz-Hacking“ alle Angriffe live an einem Modell mit
realen Komponenten demonstriert und sinnvolle
Gegenmaßnahmen aufgezeigt. n
Mehr Informationen:
Dirk Reimers
SCADA-Systeme, die anfällig für Angriffe sind:
secuview 2/2015 31
n Programmable Logic Controller
n PLC Network Devices
n SCADA
n Human Machine Interfaces
n Uninterruptable Power Supplies
n Power Distribution Units
n Building Management Systems
n Enterprise Resource Planning
n Traffic Management
32 secuview 2/2015
D und beteiligte Mitarbeiter/-innen – insbesondere in
den IT-Bereichen.
Wie bei allen Veränderungen in unternehmensweiten
Prozessen lauern auch hier diverse Stolpersteine,
die die Bemühungen zur Etablierung ausbremsen
oder ganz zum Stillstand bringen können, denn
ie Einführung und der Betrieb eines ISMS
sind keineswegs leichte Unterfangen: Ein
solches Projekt betrifft die Änderung oder
Anpassung von unternehmensweit greifenden
Sicherheitsprozessen und beinhaltet die Umsetzung
spezieller Sicherheitsmaßnahmen. Die Folgen sind
teils erhebliche Änderungen für bestehende Abläufe
Das IT-Sicherheitsgesetz (IT-SiG) fordert von Betreibern Kritischer Infrastrukturen die Einführung und den Betrieb eines Informationssicherheitsmanagementsystems, kurz ISMS. Die Involvierung und Akzeptanz der Mitarbeiter ist dabei Gold wert.
Awareness räumtStolpersteine im ISMS aus dem Weg
Technologien & Lösungen
Technologien & Lösungen
Start frei für diesecunet wall 5.1
ie Firewall-Lösung secunet wall
in der Version 5.1 ist Ende Juni
2015 auf den Markt gekommen.
Sie ermöglicht es Anwendern, ein profes-
sionelles, den sicherheitstechnologischen
Standards entsprechendes, modulares
Firewall-System zu etablieren. Die aktu-
elle, Open-Source-basierte Sicherheitslö-
sung überzeugt durch ihre Funktionalität,
Zuverlässigkeit und eine GUI-geführte
Administrierbarkeit. Sie lässt sich sehr
einfach auch in große Infrastrukturen in-
tegrieren. Dabei verfügt die secunet wall
über sehr hohe Sicherheitsstandards.
Die Zertifizierung nach CC EAL4+ wird
in Kürze erfolgen. Die Funktionalitäten
der Schutzsysteme lassen sich durch
das Management der secunet wall mit
hoher Präzision auf das benötigte Maß
einstellen. Weitere Vorteile sind die Quell-
code-Transparenz der Software und die
Lauffähigkeit auf einer breiten Palette von
x86-PC-Hardware, die von „preiswert“ bis
„High-End“ reicht.
Neue Features des Release 5.1
- LDAP-Anbindung an die zentrale
Benutzerverwaltung
- Durchgängige Implementierung des
Revisor-Accounts
- Erweiterung der Logging-Funktionalität
- 64-Bit-Unterstützung für Paketfilter
- Erweiterung der Hardwareunter-
stützung n
Mehr Informationen:
Bernhard Weiss
Kurz notiert
DMenschen reagieren auf Veränderungen, die nicht
ausreichend kommuniziert oder begründet werden,
zunächst skeptisch und kritisch.
Um bei der Einführung des ISMS Widerstände erst
gar nicht aufkommen zu lassen, ist eine angemes-
sene Einbindung und Vorbereitung der Mitarbeiter/
-innen notwendig. Dies macht das Thema „Aware-
ness“ zu einem der wichtigsten Erfolgsfaktoren eines
ISMS. Und zwar nicht nur als isolierte und wieder-
kehrende Sicherheitsmaßnahme, sondern als konti-
nuierliches Aufgabenfeld im Aufbau und im Betrieb
des ISMS. Nur so kann die Akzeptanz durch die Mit-
arbeiter/-innen und somit deren Mitarbeit gesichert
werden.
- Sie planen aktuell die Einführung eines ISMS?
- Ihre Bemühungen, ein ISMS einzuführen, sind ins
Stocken geraten?
- Ihr bereits implementiertes ISMS beginnt nicht zu
„leben“?
Mit dem individuell auf Sie abgestimmten secunet
Awareness-Programm gelingt es, Ihre Mitarbeiter/
-innen zum richtigen Zeitpunkt über die wichtigsten
„Bauarbeiten“ zum ISMS zu informieren. Wir bie-
ten für Ihr Unternehmen mit diversen Instrumenten
und Medien passende Möglichkeiten für eine offene
und unmittelbare Kommunikation, wie z. B. Print-
kampagnen, ISMS-Schulungen und Aufbau eines
IS-Portals. So stellen Sie sicher, dass Ihre Mitar-
beiter/-innen die Veränderungen und Neuerungen
mittragen und Stolpersteine in Form von Wider-
ständen aufgelöst werden bzw. diese erst gar nicht
entstehen. Belohnt werden Sie mit einem nachhaltig
effektiven und effizienten ISMS. n
Mehr Informationen:
Markus Wolf
secuview 2/2015 33
34 secuview 2/2015
Angriff auf die Autos von morgenDie zunehmende Vernetzung moderner Fahrzeuge verspricht dem Fahrer mehr Sicherheit und Komfort sowie Herstellern und Drittanbietern neue Geschäftsfelder. Gleichzeitig entstehen jedoch auch neue Risiken – beispielsweise durch Cyber- Attacken. Wie lassen sich diese einschätzen, um fundierte Gegenmaßnahmen abzuleiten? Antworten liefert das neue secunet Automotive Pentest-Labor, in dem Schwachstellen in den Steuergeräten der Fahrzeuge aufgedeckt werden.
Technologien & Lösungen
secuview 2/2015 35
in Penetrationstest bietet als Ergänzung zu
funktionalen Tests ein erprobtes Verfahren
zur praktischen Evaluierung der eingesetz-
ten Sicherheitsmechanismen. Dabei werden das
Fahrzeugnetzwerk und dessen Systembestandtei-
le mittels realitätsnaher Angriffe unter kontrollierten
Rahmenbedingungen hinsichtlich ihrer Anfälligkeit
gegenüber Hackerangriffen geprüft.
Auf diese Weise wird insbesondere die Verletzbarkeit
der zur Vernetzung der Fahrzeugelektronik integrier-
ten Steuergeräte ermittelt. Hier stellt sich die Her-
ausforderung, dass die teils über 100 verschiedenen
Steuergeräte im Fahrzeug oftmals von unterschied-
lichen Zulieferern stammen und neben einer Vielzahl
von Schnittstellen jeweils eigene Technologien und
Software mitbringen, auf deren Implementierung der
OEM meist keinen Zugriff hat. Dieser steht jedoch
in der Verantwortung, die Robustheit des gesamten
Fahrzeugs gewährleisten zu müssen. Zudem steht
häufig nur ein einzelnes Steuergerät anstelle des
gesamten Fahrzeugs für einen Test zur Verfügung,
welches ungeachtet der Vielzahl an Schnittstellen in
einer Laborumgebung geprüft werden muss.
Eine Laborumgebung mit realitätsnahen Testbe-
dingungen bietet das neue secunet Automotive
Pentest-Labor am Standort München. Dank der
optimalen Ausstattung können hier sowohl Automo-
tive-Busse als auch Geräteschnittstellen und draht-
lose Luftschnittstellen hinsichtlich ihrer Empfindlich-
keit gegenüber Angriffen von außen geprüft werden.
Während die Bedingungen des realen Fahrbetriebs
nachgestellt werden, werden weitere Komponenten
der Fahrzeugelektronik, beispielsweise ein GPS-
Signal oder ein Mobilfunknetz, simuliert. So können
die Quantifizierung verschiedener Angriffe sowie
die Bewertung ihres Bedrohungspotenzials vorge-
nommen werden. Dazu werden unter anderem der
Zeitaufwand und das benötigte Equipment für einen
bestimmten Angriff ermittelt und daraus abgeleitet,
wie einfach oder schwer dieser zu reproduzieren ist.
Mit dem Automotive Pentest-Labor unterstützt
secunet somit OEMs und Zulieferer bei
- der Planung und Durchführung von
Penetrationstests,
- der Analyse des bereits erreichten
Sicherheitsniveaus,
- der Bewertung und Priorisierung von Maßnahmen
und Investitionen sowie
- der Umsetzung angemessener
Schutzmaßnahmen. n
Mehr Informationen:
Martin Brunner
Technologien & Lösungen
E
Die Untersuchung von steuergeräteübergrei-
fenden Use-Cases im Fahrzeugnetzwerk erfor-
dert darüber hinaus die Abbildung komplexer
Zusammenhänge unter Berücksichtigung von
Wirkketten und zugrunde liegenden Kausal-
effekten. secunet führt daher auch sogenannte
„Gesamtfahrzeugtests“ außerhalb des Labors
durch. Dabei wird ein serienreifes Fahrzeug mit
vollständiger Ausstattung physisch getestet –
und somit eine fundierte Aussage über die
Sicherheit des Fahrzeugs als Ganzes ermög-
licht.
Sicherheit desFahrzeugs als Ganzes
Große Entscheidungen erfordern besondere Sicherheit.
Regierungen und ihre Mitarbeiter sind darauf angewiesen,
kritische Daten geschützt und zuverlässig austauschen zu kön-
nen – denn wo wichtige Entscheidungen getroffen werden,
hat Datensicherheit höchste Priorität. Dafür sind Giesecke &
Devrient und secunet Ihre verläss lichen Partner. Zusammen
sorgen wir dafür, dass Geheimnisse auch geheim bleiben.
www.cybersecurity-madeingermany.com
SECUNET_Reagenzglas_Reichstag_MASTER_210x297_D.indd 1 10.11.15 14:27